Neuer Ransomware-Angriff beeinträchtigt 1.000 US-Unternehmen

Ein weiterer Cyberangriff, der der REvil-Gruppe zugeschrieben wird, die ein „Ransomware-as-a-Service”-Geschäft betreibt, beeinträchtigte am vergangenen Freitag hunderte US-amerikanische Unternehmen. Zuletzt wurden 1.000 Unternehmen gezählt. Bei den meisten davon handelt es sich um Kunden von Kaseya, dem Anbieter der VSA-Cloud-Plattform, die von Managed Service Providern (MSPs) häufig genutzt wird. Die Auswirkungen dieses Angriffs könnten somit weitaus größer sein, was ihn möglicherweise zu einem der größten Ransomware-Angriffe der Geschichte macht. Es ist bereits bekannt, dass Cyberkriminelle das Unternehmensnetzwerk von Kaseya nutzten, um nahezu 50 Kunden des Unternehmens anzugreifen.

Die Sicherheitsfirma Huntress beispielsweise erklärte gegenüber Gizmodo, dass drei ihrer Kunden, die MSPs sind und VSA verwenden, von dem Angriff betroffen waren und dass infolgedessen etwa 200 kleine Unternehmen, die sich auf diese MSPs verlassen, von der Verschlüsselung betroffen waren.

„Wir wissen von vier MSPs, bei denen alle Kunden betroffen sind – drei in den USA und einer in Übersee. Betroffen sind MSPs mit Tausenden von Endpunkten“, so John Hammond, ein leitender Sicherheitsforscher bei Huntress.

Das in Florida ansässige Unternehmen Kaseya betreut weltweit mehr als 40.000 Unternehmen und forderte seine Kunden, die die Systemadministrationsplattform nutzen, auf, ihre Server sofort herunterzufahren, um das Risiko einer Beeinträchtigung zu vermeiden.

„Wir glauben, dass wir die Quelle der Schwachstelle identifiziert haben und bereiten einen Patch vor, um diese Schwachstelle für unsere Kunden vor Ort zu entschärfen, was gründlich getestet wird“, so Kaseya in einer am Samstag veröffentlichten Erklärung. „Wir werden diesen Patch so schnell wie möglich veröffentlichen, damit die Systeme unserer Kunden schnell wieder laufen.“

Der Patch muss vor dem Neustart der VSA installiert werden und enthält eine Reihe von Empfehlungen, wie die Sicherheit erhöht werden kann. Alle lokalen VSA-Server sollten offline geben, bis Kaseya mitteilt, dass es sicher ist, den Betrieb wiederherzustellen. Die Führungskräfte von Kaseya setzen sich direkt mit den betroffenen Kunden in Verbindung, um ihre Situation zu verstehen und zu prüfen, welche Unterstützung möglich ist.

REvil ist eine große cyberkriminelle Bande, die Ransomware verwendet, um große Ziele wie Apple und Acer anzugreifen. Es wird zudem vermutet, dass es sich um die Gruppe handelt, die kürzlich den Fleischlieferanten JBS angriff und um 11 Millionen Dollar erpresste.

Das FBI untersucht den Vorfall in Zusammenarbeit mit der CISA, um die möglichen Opfer zu informieren. „Wenn Sie denken, dass Ihr System kompromittiert ist, raten wir Ihnen dazu, sämtliche Maßnahmen zur Abmilderung zu ergreifen, den Anweisungen von Kaseya zum sofortigen Herunterfahren der VSA Server zu folgen und dem FBI davon zu berichten“, so das FBI.

Die Washington Post berichtet, dass die Hacker dabei erwischt wurden, wie sie „am Freitag zwei verschiedene Lösegeldforderungen versendeten: Sie forderten 50.000 Dollar von kleineren Unternehmen und 5 Millionen Dollar von größeren.“

Der Ansicht von Marktanalysten zufolge ist der Angriff auf Kaseya gleichzusetzen mit dem Angriff auf die Orion-Plattform von SolarWinds. Den Angreifern gelang es, den Update-Kompilierungsprozess von Orion zu infiltrieren, ohne eine Spur zu hinterlassen. Cybersecurity-Forscher sagen, dass die Spione mit großer Wahrscheinlichkeit immer noch über die durchbrochenen Netzwerke aktiv sind.

In den letzten Monaten sind amerikanische Unternehmen vermehrt zum Ziel von Cyberkriminellen geworden. Im Mai musste die Firma Colonial, eine der größten Pipelines in den Vereinigten Staaten, nach einem Cyberangriff ihre Aktivitäten einstellen. Damals bestätigte das FBI, dass die Gruppe DarkSide, die von russischem Boden aus operierte, hinter der kriminellen Handlung steckte. Die Aussetzung der Aktivitäten von Colonial mit ihren 8.850 Kilometern Pipelines, die das Unternehmen zwischen Texas und New York verwaltet, beschädigte einen für die Versorgung der großen Bevölkerungszentren im Osten und Süden der Vereinigten Staaten lebenswichtigen Dienst, der täglich das Äquivalent von 2,5 Millionen Barrel Benzin, Diesel und Flugkraftstoff transportiert, was wiederum 45 % der Gesamtversorgung der Ostküste entspricht.

Wochen später führte ein Angriff auf das Unternehmen JBS zur vorübergehenden Schließung aller neun rindfleischverarbeitenden Werke in den USA und Kanada.

Ein Problem für Nationen

Die National Security Agency (NSA) und andere Sicherheitsbehörden der US-Regierung veröffentlichten am Donnerstag eine gemeinsame Erklärung darüber, wie der russische Militärgeheimdienst in den letzten zwei Jahren versucht hat, sich in private und staatliche Computernetzwerke einzuhacken. Die Erklärung nennt keine konkreten Hacks, liefert aber seitenweise technische Details und stellt unter anderem fest, dass Angreifer oft versuchen an Cloud-Diensten vorbeizukommen, um das anvisierte Ziel zu erreichen.

Diese hochgradige Aktivität von Cyberkriminellen in den USA löste neue Diskussionen über die Möglichkeit eines internationalen Cyber-Abkommens aus, das Grundregeln dafür festlegt, was erlaubt ist und was nicht, einschließlich einer Festlegung von Sanktionen für Verstöße. Doch viele Cyber-Experten sind nach wie vor sehr skeptisch, dass ein solches Abkommen überhaupt zustande kommt, geschweige denn durchgesetzt werden kann. Nicht zuletzt aus dem Grund, dass diese Gespräche schon seit Jahren geführt werden.

Die erste Herausforderung wäre es, alle zur Zustimmung der Regeln zu bewegen. Russland, China, der Iran und Nordkorea wurden beschuldigt, die USA in erheblichem Umfang angegriffen zu haben, und Analysten sagen, dass diese Länder Cyberangriffe für billig, effektiv und leicht zu leugnen erachten.

Es steht nicht einmal fest, ob diese Länder bereit wären, den Bedingungen überhaupt zuzustimmen, weil Cyberangriffe „höchst nützlich für ihre geopolitische Positionierung sind“, so April Falcon Doss, ein ehemaliger NSA-Mitarbeiter, gegenüber NPR.

Seiner Meinung nach wäre ein Cyber-Abkommen extrem schwierig zu überwachen und durchzusetzen. Das liegt daran, dass die Produktion, Entwicklung und Lagerung von nuklearen, biologischen und chemischen Waffen sich grundlegend von der flüchtigen Natur von Cyberwaffen unterscheidet.